驱动病毒数量攀升 火绒虚拟沙盒升级加强检测查杀
近日,火绒虚拟沙盒针对驱动病毒实现通用脱壳,可获取到驱动病毒核心特征,提高此类病毒的查杀效果,更好地防御相关未知威胁。
火绒“在线支持与响应平台”统计发现,近几年驱动病毒数量在不断增长,火绒安全接到用户此类病毒问题的求助也在逐年递增。
驱动病毒往往通过恶意劫持用户网页流量、盗取用户信息、降低系统安全性等操作,给用户电脑带来安全隐患,侵害用户个人隐私。驱动病毒问题已经成为国内个人用户遇到的主要安全威胁之一。
驱动病毒是一种内核级病毒,病毒可以对操作系统内核资源进行劫持,或通过隐藏其他病毒进程、注册表、文件相关操作等方式与安全软件进行对抗。在此类对抗场景中,驱动病毒由于对运行稳定性要求较高,所以主要表现为使用“保护壳”方式对抗安全软件查杀,如VMProtect等。而针对带有“保护壳”的驱动病毒,常规查杀手段无法高效精准地对其识别查杀。
另外一种现象是,越来越多的驱动病毒开始带有微软的WHQL签名,从而使得安全软件常规查杀效果进一步降低。
此次火绒虚拟沙盒针对驱动病毒实现通用脱壳的技术升级,可以戳穿驱动病毒的“伪装”,通过模拟仿真的方式,还原驱动病毒的本质代码、数据和病毒行为,捕捉病毒核心特征,实现“稳、准”查杀。
以Rootkit病毒Rootkit/W64.Agent.h为例,该病毒使用微软的WHQL签名,并且使用VMProtect进行加密。相关文件信息,如下图所示:
病毒驱动文件信息
VMProtect加密后,病毒的核心特征被加密,脱壳前和脱壳后对比图,如下图所示:
脱壳前和脱壳后对比图
以“拉法病毒”的过滤驱动模块HomePop.sys为例,该模块使用VMProtect进行加密,在火绒虚拟沙盒环境中对其进行通用脱壳后,获取到病毒核心特征,达到更好的查杀效果。相关特征,如下图所示:
“拉法病毒”内层核心特征
病毒使用的证书信息,如下图所示:
病毒使用的证书信息
以《传奇私服正携带病毒劫持网络流量 火绒安全已拦截》中的Rootkit病毒为例,火绒虚拟沙盒引擎对其进行脱壳后,即可获取到大量核心特征,如:拦截的驱动签名列表、C&C服务器地址、配置相关等信息,如下图所示:
传奇私服病毒内层核心特征
以Rootkit病毒Rootkit/StartPage.m为例,火绒虚拟沙盒引擎对其进行脱壳后,即可获取到核心特征,如下图所示:
Rootkit/StartPage.m病毒内层核心特征
样本HASH:
HUORONG
火绒安全成立于2011年,是一家专注、纯粹的安全公司,致力于在终端安全领域为用户提供专业的产品和专注的服务,并持续对外赋能反病毒引擎等相关自主研发技术。多年来,火绒安全产品凭借“专业、干净、轻巧”的特点收获了广大用户的良好口碑。火绒企业版产品更是针对企业内外网脆弱的环节,拓展了企业对于终端管理的范围和方式,提升了产品的兼容性、易用性,最终实现更直观的将威胁可视化、让管理轻便化,充分达到保护企业信息安全的目的。
相关文章
- 超低功耗LCD液晶显示驱动芯片(IC)-VKL128-稳定性好,超低工作电流,低休眠电流-技术开发资料
- Stable Diffusion 背后的故事:独辟蹊径,开源和社区驱动的 AI 独角兽 | 创始人专访
- Linux加密狗驱动程序:安全保障你的隐私(linux加密狗驱动)
- 安装Python MySQL驱动之快速指南(python安装mysql驱动)
- 包【Oracle驱动的安装:加载jar包搭建数据库连接桥梁】(oracle驱动jar)
- 更新解锁新纪元:Dell Linux驱动升级(delllinux驱动)
- 深入Linux下串口驱动开发实战(linux下串口驱动开发)
- MySQL驱动带来的Idea开发体验(ideamysql驱动)
- Ubuntu 有望让你安装最新 Nvidia Linux 驱动更简单
- 博通出品,Linux专属 — 品质网卡驱动器再次升级(博通的网卡linux驱动)
- 服务器优质性能,Linux惠普服务器最强驱动(linux惠普)
- Linux安装显卡驱动:一步步指导(linux装显卡驱动)
- 窥探Linux的PCI驱动背后的奥秘(linux的pci驱动)
- SQL Server:驱动数据分析和管理升级(软件sqlserver)
- 手机上的Redis驱动移动开发的新动力(手机运行redis)